鄭 軍

（對外經(jīng)濟貿(mào)易大學 法學院，北京 100029）

一、引 言

國家主權(quán)是一個歷史久遠、歷久彌新的概念，而網(wǎng)絡(luò)主權(quán)正是這一概念在網(wǎng)絡(luò)時代的新發(fā)展[1]3。網(wǎng)絡(luò)空間是一個與地理空間既相對疏離又緊密聯(lián)系的全新虛擬空間。國家主權(quán)原則來源于現(xiàn)實空間的治理需要，其如何適應(yīng)新的空間治理需求是一個不容回避的根本性問題。隨著傳統(tǒng)國家間的利益博弈向網(wǎng)絡(luò)空間延伸，網(wǎng)絡(luò)空間來到了一個秩序構(gòu)建和規(guī)則博弈的關(guān)鍵時期，國家主權(quán)在網(wǎng)絡(luò)空間如何有效適用，是具有根本性但卻異常復(fù)雜的問題。此外，承載個人信息的數(shù)據(jù)因存儲地與控制者可能位于不同法域，將導(dǎo)致個人信息保護治理面臨數(shù)據(jù)管轄碎片化難題。個人信息保護制度不僅涉及公民個人的私權(quán)保護，還涉及國家安全利益能否得到有效保障，被認為是數(shù)字社會的基礎(chǔ)性法律制度[2]47。能否有效滿足新需求與解決新問題的關(guān)鍵，在于立法者能否準確把握移動互聯(lián)的時代問題特點，以作出與時俱進的立法回應(yīng)。

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）已于2021年11月1日生效，該部法律體現(xiàn)了我國在個人信息域外保護方面最新的進展：將作為國內(nèi)法的保護規(guī)則適用范圍擴展至境外機構(gòu)與個人，為企業(yè)有關(guān)個人信息跨境提供了確定規(guī)則，對外國司法或者執(zhí)法機構(gòu)提供個人信息明確了條件，對域外個人信息保護方面的歧視性措施提供了反制措施等等。

《個人信息保護法》有關(guān)域外效力的規(guī)定，為中國參與國際數(shù)據(jù)市場的良性競爭、充分保護我國公民個人信息權(quán)益、維護國家信息安全等多重目標提供了又一重要的法律路徑。其反映出中國網(wǎng)絡(luò)空間治理在治理思路、規(guī)制主體、責任機制等方面與世界主流的網(wǎng)絡(luò)空間治理具有相似之處，但在治理機構(gòu)、治理模式、治理程度、具體規(guī)制等方面仍存在差異，中國網(wǎng)絡(luò)空間治理尚有許多領(lǐng)域有待具體規(guī)范出臺。伴隨整體制度框架縱深化發(fā)展，中國網(wǎng)絡(luò)空間治理將以《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）、《個人信息保護法》為核心，各領(lǐng)域法律法規(guī)相互銜接補充，形成覆蓋各行各業(yè)的網(wǎng)絡(luò)空間安全保護網(wǎng)。

盡管我國在個人信息保護和數(shù)據(jù)安全領(lǐng)域具有域外效力的立法規(guī)制已經(jīng)取得較大發(fā)展，但就整體而言中國法域外適用規(guī)則趨于保守，距離“充分維護國家利益需求的目標”尚有較大發(fā)展空間[3]27。推進我國法律域外適用是全面依法治國戰(zhàn)略的重要組成部分①習近平總書記指出：“要加快推進我國法域外適用的法律體系建設(shè)?！眳⒁姟读暯街鞒终匍_中央全面依法治國委員會第二次會議并發(fā)表重要講話》，載新華網(wǎng)，http://www.xinhuanet.com/politics/leaders/2019－02/25/c_1124161654.htm，最后訪問時間:2019年9月25日。，進行國內(nèi)法域外適用法律體系建設(shè)，需要我國借鑒更加積極進取的管轄權(quán)理論，確立更廣泛的域外管轄聯(lián)系，這是對傳統(tǒng)屬地主義的重大突破和立場轉(zhuǎn)變，更需要堅實的法理論證作為支撐[4]。

二、《個人信息保護法》域外保護相關(guān)條文述評

基于網(wǎng)絡(luò)空間開放性的特點，各國管轄權(quán)并存甚至沖突的情況屢見不鮮。在美歐等發(fā)達國家及地區(qū)相繼推出個人信息保護和跨境數(shù)據(jù)管理規(guī)則的背景下，我國個人信息保護制度在立法供給不足的問題也逐漸凸顯，域外跨國主體濫用算法非法獲取我國公民信息的行為沒有得到有效防范，我國互聯(lián)網(wǎng)企業(yè)在國際市場競爭時面臨被動局面。盡管《個人信息保護法》文本仍然存在進一步優(yōu)化的空間，但仍有許多亮點，可在一定程度上彌補我國網(wǎng)絡(luò)信息管理在國內(nèi)法域外效力方面的不足。

（一）體現(xiàn)“效果原則”的域外效力條款

基于本國領(lǐng)土范圍進行管轄的“屬地管轄”原則，是國際公認的原則，是探討公法效力范圍的邏輯起點[5]187，但其無法有效應(yīng)對開放的網(wǎng)絡(luò)空間的多樣化規(guī)制需求。“效果原則”的出現(xiàn)，使各國網(wǎng)絡(luò)空間規(guī)制面臨的困境得以有效緩解②晚近以來，一些國家為擴張其國內(nèi)法域外效力探尋國際法依據(jù)，“效果原則”是相關(guān)成果之一。依據(jù)該原則，在境外發(fā)生的行為，如果對國家產(chǎn)生有害影響，國家即可以行使管轄權(quán)。參見賈兵兵《國際公法:和平時期的解釋和適用》,清華大學出版社，2015年，第335-336頁。。歐盟《通用數(shù)據(jù)保護條例》（以下簡稱“GDPR”）第3（2）條實際采納了“效果原則”，在美國“效果原則”是聯(lián)邦法院確定美國法是否具有域外效力的主要標準[6]，在我國國內(nèi)立法中“效果原則”亦有體現(xiàn)①參見《中華人民共和國反壟斷法》第2條：“中華人民共和國境外的壟斷行為，對境內(nèi)市場競爭產(chǎn)生排除、限制影響的，適用本法?！?。

《個人信息保護法》第3條是有關(guān)域外效力的規(guī)定②參見《個人信息保護法》第3條：“在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。”，其借鑒了歐盟GDPR的立法思路，將“數(shù)據(jù)處理行為”而非“數(shù)據(jù)處理行為發(fā)生的具體位置”作為管轄重點，最大化降低法律規(guī)避導(dǎo)致的負面效應(yīng)。在數(shù)據(jù)傳輸高度發(fā)達的移動互聯(lián)時代，根據(jù)傳統(tǒng)的屬地原則，通過“經(jīng)營場所標準”的聯(lián)系獲得對境內(nèi)主體的管轄權(quán)，其規(guī)制效果的局限性愈發(fā)明顯，數(shù)據(jù)處理者可通過境內(nèi)和境外的操作行為，對個人信息權(quán)益產(chǎn)生不當影響。歐盟提出了“經(jīng)營場所開展活動的場景”，盡管相關(guān)數(shù)據(jù)處理行為發(fā)生在境外，但具體場景與相關(guān)行為具有關(guān)聯(lián)而且“無法割裂”，該數(shù)據(jù)處理行為也將被納入歐盟GDPR的地域管轄范圍[7]69。這樣的制度設(shè)計體現(xiàn)了立法者突破了舊的觀念束縛，是對信息技術(shù)迅猛發(fā)展作出的強有力的立法回應(yīng)。

在法律保護主體方面，比較《個人信息保護法》與《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》，法律保護主體范圍從“國內(nèi)公民”合法權(quán)益擴展至“自然人”（不再區(qū)分自然人國籍）個人信息，理論上可能包含在針對外國人的個人信息處理活動。該制度設(shè)計相對于《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》而言，是向前邁進了一大步。

在法律適用范圍方面，相較于《網(wǎng)絡(luò)安全法》③參見《網(wǎng)絡(luò)安全法》第2條：“在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理，適用本法。”和《數(shù)據(jù)安全法》④參見《數(shù)據(jù)安全法》第2條：“在中華人民共和國境內(nèi)開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用本法。在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責任?！狈夯囊?guī)定，《個人信息保護法》對于域外效力的適用范圍規(guī)定更加清晰，所規(guī)制對象進一步明確為“境外自然人個人信息的活動”，并制定了體現(xiàn)“效果原則”法律使用條件⑤具體使用條件為“以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的‘或者’分析、評估境內(nèi)自然人的行為?！?。此外，《個人信息保護法》作為信息保護的基礎(chǔ)性法律，設(shè)定了“其他情形”作為兜底條款，為處理將來可能出現(xiàn)的規(guī)制需要做好準備。

（二）個人信息跨境提供

《個人信息保護法》第36條、第38條、第39條、第40條是“個人信息跨境提供”一般規(guī)則，涵蓋多個方面。

1.跨境提供個人信息的條件

對跨境提供個人信息的條件，對于不同的主體分別作出相應(yīng)安排。第一，國家機關(guān)對個人信息跨境傳輸應(yīng)當進行安全評估⑥參見《個人信息保護法》第36條：“國家機關(guān)處理的個人信息應(yīng)當在中華人民共和國境內(nèi)存儲；確需向境外提供的，應(yīng)當進行安全評估。安全評估可以要求有關(guān)部門提供支持與協(xié)助。”。第二，個人信息處理者（非國家機關(guān)）對個人信息跨境傳輸時，須滿足四項條件其中之一（通過網(wǎng)信部門安全評估、通過第三方機構(gòu)個人信息保護認證、與境外接收方訂立標準合同、符合法律法規(guī)網(wǎng)信部門規(guī)定），或者符合我國參與的國際條約或協(xié)定，此外，還須采取“必要措施”確保境外接收者達到個人信息保護標準⑦參見《個人信息保護法》第38條：“個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當具備下列條件之一：（一）依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。個人信息處理者應(yīng)當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。”。國家機關(guān)開展的評估是“自我評估”，個人信息處理者（非國家機關(guān)開展）進行的是網(wǎng)信部門組織的“外部評估”[8]101。

關(guān)于個人信息出境的安全評估要求，首見于《網(wǎng)絡(luò)安全法》第37條，此后《個人信息出境安全評估辦法（征求意見稿）》將適用范圍擴大。安全評估范圍在“狹小”和“寬大”之間的回擺對個人信息保護不利，也可能給相關(guān)行業(yè)發(fā)展帶來一定的不確定性?！秱€人信息保護法》第40條試圖在以上兩者之間找到一個平衡，使安全評估的適用范圍落在一個合理區(qū)間?！瓣P(guān)鍵信息基礎(chǔ)設(shè)施”與“超大量個人信息處理”的認定和監(jiān)管，都會有專門的配套制度予以落實。相關(guān)規(guī)定體現(xiàn)了更加務(wù)實的立法態(tài)度——保護信息安全和規(guī)制信息跨境流動的目標都要實現(xiàn)①參見王一楠、張奕欣，等《數(shù)字時代個人信息的“保護神”——〈個人信息保護法〉解讀》，微信公眾號：網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室，網(wǎng)址：https://mp.weixin.qq.com/s/GaLQKUgrM8TpY_4xs_8p1A，訪問時間2021年10月4日。。

關(guān)于“專業(yè)機構(gòu)認證”，在準入和運行程序方面尚缺乏統(tǒng)一的國家標準。于2022年2月15日實施的《網(wǎng)絡(luò)安全審查辦法》已明確了具體網(wǎng)絡(luò)安全認證機構(gòu)——中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心②參見中國網(wǎng)信網(wǎng)《網(wǎng)絡(luò)安全審查辦法》答記者問，網(wǎng)址：http://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm，最近訪問時間2022年2月16日。。但是需注意的是，網(wǎng)絡(luò)安全審查不等同于一般的數(shù)據(jù)安全審查，前者聚焦可能影響國家安全的情形③參見《網(wǎng)絡(luò)安全審查辦法》第1條：“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護國家安全，根據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，制定本辦法?！钡?條：“關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應(yīng)當向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查?！保笳吆w更廣泛的數(shù)據(jù)安全審查問題④參見《數(shù)據(jù)安全法》第24條：“國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。”。

關(guān)于標準合同，采取合同管理的方式，通過協(xié)議條款的“剛性化和標準化”，提升跨境信息處理行為的可信任度[7]101。盡管此種標準化在一定程度上影響到當事人意思自治的效果，但卻更有助于保障自然人的個人信息權(quán)益。對于標準合同，國內(nèi)目前尚未出臺統(tǒng)一細則，但一些學者已參考國外先進經(jīng)驗，提出了合理化建議[9]171。此外，安全評估或?qū)I(yè)機構(gòu)認證標準等文件的出臺，由于涉及廣泛調(diào)研與科學論證流程，相關(guān)規(guī)范性文件頒布具有較大不確定性。鑒于此，有學者認為早日出臺“標準合同”文本可能更適應(yīng)實踐需要，也更能夠體現(xiàn)指導(dǎo)性和便利性[10]43。

2.關(guān)于“知情—單獨同意規(guī)則”

“知情—單獨同意規(guī)則”旨在于“處理其個人信息的前提是應(yīng)該讓自然人充分知情，并取得同意”⑤參見《個人信息保護法》第39條：“個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。”。該規(guī)則包含“告知內(nèi)容擴大化”和“單獨同意”兩個方面，屬于信息處理者跨境提供信息的必要條件。

告知內(nèi)容擴大化。對自然人而言，“信息跨境提供行為”相比其他信息處理行為，在信息控制和權(quán)益保護難度方面有明顯不同[8]103。因此，需要加強自然人信息被處理的知情權(quán)與自決權(quán)?！秱€人信息保護法》第39條有關(guān)“知情—單獨同意”方面的規(guī)定，有助于對個人信息跨境提供必要的權(quán)益保障。相比《個人信息保護法》第17條的告知義務(wù)，《個人信息保護法》第39條具有“告知內(nèi)容擴大化”的特點，即除了個人信息處理者的信息，還需要提供境外接收方的信息。以上規(guī)定，對于發(fā)生信息安全事件后的有效維權(quán)具有重要意義。但是，過于細致和高標準的信息告知義務(wù)，可能也會較大程度地提升信息處理者的合規(guī)成本，并對信息的自由流動產(chǎn)生一定的負面影響。

“單獨同意”規(guī)則是指信息處理者在個人信息跨境提供之前，要采取“一對一”方式取得個人同意，其目的在于提升自然人的重視程度，使其作出決定時更加謹慎和理性[11]92-93?；蛟S立法者考慮到對于“單獨同意”過于細致的形式要求可能產(chǎn)生一定負面影響，現(xiàn)有規(guī)則對于單獨同意的實現(xiàn)形式并未作出具體規(guī)定。實踐中單獨同意可能包括多種方式，例如書面方式、口頭方式、軟件彈窗、單獨協(xié)議、在線勾選、確認點擊等等[12]102。

3.重要信息的本土存儲和出境安全評估

對于數(shù)據(jù)規(guī)制舊的管理模式是“數(shù)據(jù)本地化+限制出境”，其已經(jīng)無法適應(yīng)數(shù)字經(jīng)濟全球化和我國企業(yè)出海的需求[10]39。根據(jù)《個人信息保護法》第40條，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和達到規(guī)定數(shù)量的個人信息處理者，需將數(shù)據(jù)本地化存儲，確需出境的應(yīng)通過安全評估。我國個人信息跨境提供采取分類處理機制，對于特定主體信息處理行為“特別關(guān)注”，但對于普通主體的信息（尤其是敏感信息）跨境提供缺乏足夠的監(jiān)管力度。應(yīng)當考慮建立多元化分類監(jiān)管機制，“特定主體+敏感個人信息”可以作為參考模式[8]103。就產(chǎn)生的負面影響而言，敏感個人信息出境后遭遇侵權(quán)導(dǎo)致的后果可能比一般信息被侵權(quán)更嚴重，更需要國家周延的保護[13]86。此外，應(yīng)進一步出臺細則，明確“處理個人信息達到規(guī)定數(shù)量”的理解。例如，根據(jù)《網(wǎng)絡(luò)安全審查辦法》，“掌握超過100萬用戶個人信息”是網(wǎng)絡(luò)信息平臺境外上市前安全審查的標準①參見《網(wǎng)絡(luò)安全審查辦法》第7條：“掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。”。毫無疑問，僅從數(shù)量界定需要本地化存儲的個人信息并不能完全滿足國家安全的需要。在評估信息出境時，除了“信息數(shù)量”和“企業(yè)規(guī)?！弊鳛楸匾膮⒖贾笜?，“信息自身的敏感程度”應(yīng)當著重考量。

（三）向外國司法或者執(zhí)法機構(gòu)提供個人信息

《個人信息保護法》第41條涉及“向外國司法或者執(zhí)法機構(gòu)提供個人信息”②參見《個人信息保護法》第41條：“中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供存儲于境內(nèi)個人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息?！?，其明確“經(jīng)主管部門批準”是向境外司法或者執(zhí)法機構(gòu)提供個人信息的必要條件。此項內(nèi)容與《數(shù)據(jù)安全法》第36條和《中華人民共和國民事訴訟法》第277條的要求相同，均充分體現(xiàn)了我國司法主權(quán)需優(yōu)先維護的立法要旨。此外，將“執(zhí)法機構(gòu)”加入規(guī)范之列是為了減少我國個人信息數(shù)據(jù)權(quán)益遭受境外“長臂管轄”的不當侵害，也是對近年來很多域外“不斷擴大跨境數(shù)據(jù)調(diào)取權(quán)利的境外執(zhí)法行為”的必要回應(yīng)③例如，美國《澄清境外數(shù)據(jù)合法使用法案》《外國公司問責法》等。。個人信息具有弱主權(quán)的特性，源于其在主體、法益和意愿表達上傾向于私法層面的保護。但是特殊個人信息及其組合仍然可能涉及公共領(lǐng)域和主權(quán)性權(quán)利。各個國家因“長臂管轄權(quán)”引發(fā)的數(shù)據(jù)管轄權(quán)沖突，根源在于對個人信息跨境問題中“境”的含義理解不同[13]80。傳統(tǒng)的國家法管轄權(quán)框架已無法適應(yīng)數(shù)字經(jīng)濟迅猛發(fā)展中對于數(shù)據(jù)規(guī)制權(quán)的較高需求。

（四）反制和限制措施

《個人信息保護法》第43條是針對國外采取個人信息保護方面的歧視性措施時，賦予我國采取反制措施的權(quán)力④參見《個人信息保護法》第43條：“任何國家或者地區(qū)在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。”，這體現(xiàn)了國際法上的對等原則，并且與《數(shù)據(jù)安全法》第26條“反制域外歧視性措施”具有相同立法宗旨⑤參見《數(shù)據(jù)安全法》第26條：“任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施?！薄４送?，范圍不再局限于“投資、貿(mào)易相關(guān)”，實際上擴大了對等反制措施的適用范圍。相較于《數(shù)據(jù)安全法》，《個人信息保護法》第42條增設(shè)了一個“黑名單”制度，即“限制或禁止提供個人信息的清單”⑥參見《個人信息保護法》第42條：“境外的組織、個人從事侵害中華人民共和國公民的個人信息權(quán)益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施?！薄€人信息保護黑名單（第42條）是《網(wǎng)絡(luò)安全法》第75條的革新，《數(shù)據(jù)安全法》第2條亦有涉及，但個人信息保護黑名單制度適用的前提是“違反規(guī)定+損害權(quán)益”。此處的規(guī)定具有“防御性”特點，既堅決回應(yīng)了國外無理制裁，也體現(xiàn)出我國國內(nèi)法域外效力的謙抑性[10]47。

總體而言，區(qū)別于一般部門法，《個人信息保護法》的域外效力和適用范圍適度擴展至境外主體，這對于限制跨國主體的法律規(guī)避有重要作用，也將更有效地保護我國公民的個人信息權(quán)益。相關(guān)條款可以很好地與歐盟GDPR條例等國際網(wǎng)絡(luò)空間治理主流規(guī)范相銜接，也是我國探索法律域外效力與適用的又一次嘗試，有助于我國參與國際網(wǎng)絡(luò)空間的治理，提升我國在國際法領(lǐng)域的地位及話語權(quán)。

三、個人信息域外保護的制度邏輯

關(guān)于《個人信息保護法》的域外效力和具體適用，不僅是一國立法方面的自主選擇，還應(yīng)結(jié)合國際法理論與數(shù)據(jù)保護的特殊屬性全面統(tǒng)籌考慮，并參考域外相關(guān)經(jīng)驗，進行系統(tǒng)籌劃。

（一）國內(nèi)法域外效力的國際法考量

在國際法上存在多種管轄權(quán)理論，例如屬地管轄、屬人管轄、保護性管轄與普遍管轄等等。在經(jīng)濟全球化背景下，一個特定的人及其行為可能面臨“被多重管轄”的局面，例如，自然人甲在A國做出某種行為，而該行為造成的結(jié)果或者影響發(fā)生在B國，A國政府依據(jù)屬地管轄理論對甲適用A國國內(nèi)法，B國政府憑借保護性管轄理論主張對甲適用其國內(nèi)法。解決A、B兩國管轄權(quán)沖突的理想途徑是遵循國際禮讓原則或者締結(jié)條約，或考慮域外行為與管轄國家的聯(lián)系程度：聯(lián)系越緊密則合法性越強，反之越弱。一國以屬地管轄原則以外的主張，意圖使其國內(nèi)法發(fā)生域外效力，總是難以避免發(fā)生爭議。對于該域外管轄措施的認定結(jié)論包括：推定符合國際法、可能違反國際法、確定違反國際法。“在國際法上是否存在明確的禁止性原則”是判斷該域外管轄措施是否合法的重要標準[14]185。

（二）公法域外效力的正當性分析

個人信息保護法在立法屬性上屬于公法，相當一部分的條文具有禁止性和管制性，其具體條款的域外適用效力既是源于保護本國公民的數(shù)據(jù)信息合法權(quán)益的需要，也是維護我國國家利益和保護數(shù)據(jù)主權(quán)的需要。從國際法角度審視，公法本質(zhì)上涉及一個國家的管制權(quán)力。

對他國主權(quán)的尊重是維護良好國際秩序的基本前提，探討公法效力范圍的邏輯起點應(yīng)為屬地原則。換句話說，出于對他國主權(quán)的尊重，公法效力范圍應(yīng)當局限于本國管轄領(lǐng)域。然而，經(jīng)濟全球化背景下跨國不法行為頻繁發(fā)生，域外不法行為經(jīng)常對主權(quán)國家域內(nèi)造成種種不良影響。多邊機制在協(xié)調(diào)多方行動和維護國際社會整體利益方面具有一定優(yōu)勢，但數(shù)量有限和能力不足的短板，導(dǎo)致其在面臨跨國不法行為時往往缺乏應(yīng)對能力。因此，出于維護國家利益的現(xiàn)實需求，將本國公法效力延伸至域外的主張和行為不斷出現(xiàn)。但是，擅自闖入他國領(lǐng)域適用本國公法，將不可避免地形成對他國管制權(quán)力的限制甚至剝奪，由此引發(fā)主權(quán)國家間外交沖突和國際爭端。在管制跨境不法行為和尊重他國規(guī)制主權(quán)之間存在一定的張力。在國際習慣法上存在對公法域外管轄的限制，即在管制國和對象之間存在“真正聯(lián)系”。但是其僅構(gòu)成一個抽象的標準，“是否具有聯(lián)系”以及“聯(lián)系的程度”始終難以真實量化和明確判斷。評估公法域外適用的正當性必須在具體案例中進行分析[5]187。

賦予《個人信息保護法》一定的域外效力，既是我國在立法方面的自主選擇，也是立法者從全球化背景出發(fā)，全面思考和認真考量的結(jié)果。在保留公共執(zhí)行路徑的同時，也開辟私人執(zhí)行路徑，適當?shù)刭x予私人以民事賠償?shù)脑V權(quán)。不同于行為保護和利益保護，個人信息的權(quán)利保護是動態(tài)的、積極的和全周期的，它既應(yīng)為信息的收集者和控制者設(shè)定義務(wù)，也應(yīng)為個人提供主動行使權(quán)利和尋求救濟的渠道，充分發(fā)揮私力救濟和公力救濟在維權(quán)方面的“復(fù)合效果”[2]49。

四、個人信息域外保護的挑戰(zhàn)

（一）法律域外效力的激烈競爭——以美國為例

國內(nèi)學者多主張美國司法的“長臂管轄”是國內(nèi)法域外適用的反面典型，不符合以《聯(lián)合國憲章》為基礎(chǔ)的國際法體系，然而客觀來看，國際法也在動態(tài)發(fā)展。主權(quán)國家是國際法最重要的參與主體，大國是推動國際法發(fā)展的重要力量，對國際法治發(fā)展方向產(chǎn)生較大影響。以聯(lián)合國和世界貿(mào)易組織為代表的政府間多邊組織在維護國際經(jīng)濟政治格局方面發(fā)揮了重要的作用，然而不可否認的是隨著大國博弈與地緣政治交鋒愈演愈烈，多邊組織的作用出現(xiàn)了一定的弱化甚至是被邊緣化。增強國內(nèi)法律的域外效果，進而影響全球治理規(guī)則，已經(jīng)成為部分大國主動追求的潛規(guī)則[5]190。

“使國內(nèi)法域外發(fā)揮效力”濫觴于美國在世界大戰(zhàn)期間，為奪取戰(zhàn)爭勝利配合武力手段的特殊武器——經(jīng)濟戰(zhàn)工具，其后來逐步發(fā)展成為在國際經(jīng)貿(mào)領(lǐng)域內(nèi)維護美國國家利益常規(guī)工具。美國通過聯(lián)邦立法和條例的不斷頒布和更新①例如，1977年《國際緊急狀態(tài)經(jīng)濟權(quán)利法》、1979年《出口管理法》、1982年《控制蘇聯(lián)石油和天然氣修正案》、1992年《古巴民主法》、1996年《赫爾姆斯—伯頓法》和《伊朗利比亞制裁法》、2001年《愛國者法》、2010年《全面伊朗制裁、究責和撤資法》和《海外賬戶稅收遵從法》，等等。，逐步發(fā)展成為以“經(jīng)濟制裁法”為核心的，融合“一級制裁”和“次級制裁”的雙層制裁體系[14]178。盡管美國一直宣揚權(quán)力分立與制衡是評價一國法治環(huán)境完善程度的必要標準，然而仔細研究就會發(fā)現(xiàn)，權(quán)力制衡僅僅是在國內(nèi)法治環(huán)境下的產(chǎn)物，在國際競爭中維護自身國家利益為首要目標，此時相互制衡的權(quán)力則轉(zhuǎn)換為相互配合和支撐的重要手段，在“法治”外表的掩護下，濫用美元作為全球支付工具的優(yōu)勢，憑借其雄厚的國家實力，協(xié)助其國內(nèi)企業(yè)在國際經(jīng)貿(mào)競爭中攻城略地，打壓國外競爭對手，牟取全球范圍市場份額與壟斷利益。

總之，對于美國而言，擴張其國內(nèi)法域外效力源于維護其全球利益的戰(zhàn)略需求和國家利益導(dǎo)向，強大的國家實力和以美元為主導(dǎo)的國際貨幣金融體系是保障其國內(nèi)法效力得以擴張的有效保障[14]182。

（二）我國法律域外效力制度供給不足

我國目前數(shù)據(jù)保護立法對于“域外數(shù)據(jù)的保護”僅具有框架性，缺乏實體部門法層面的有力支撐，更缺乏規(guī)范行為模式的具體指導(dǎo)，具有域外效力的數(shù)據(jù)保護立法亟待完善[15]122。例如，在依據(jù)《個人信息保護法》確認域外行為侵害個人信息權(quán)益后，如何落實侵害個人信息權(quán)益的民事責任承擔問題？即使依據(jù)我國涉外法律規(guī)定，法院應(yīng)適用侵權(quán)行為地法律，按照通行的解釋，網(wǎng)絡(luò)空間中信息侵權(quán)行為地難以確立的問題，也會導(dǎo)致該問題可能陷入難以解決的僵局②參見《涉外民事關(guān)系法律適用法》第44條：“侵權(quán)責任，適用侵權(quán)行為地法律，但當事人有共同經(jīng)常居所地的，適用共同經(jīng)常居所地法律。侵權(quán)行為發(fā)生后，當事人協(xié)議選擇適用法律的，按照其協(xié)議?！贝送?，一般學理上認為侵權(quán)行為地包括侵權(quán)行為實施地和侵權(quán)結(jié)果發(fā)生地。。

目前我國法律域外效力主要體現(xiàn)在以刑事責任為主的后果承擔上，對行政制裁措施重視程度不足。由于與我國締結(jié)引渡條約的國家數(shù)量有限，追究域外行為人刑事責任的難度非常大。此外，對于違反我國法尚不構(gòu)成刑事犯罪的域外行為，現(xiàn)行法律中缺乏必要的行政制裁手段。

（三）法院域外管轄過于被動

司法域外管轄涉及一些深層次的國際法問題。我國司法機關(guān)主要關(guān)注國內(nèi)法治問題，對國際法問題缺乏足夠的關(guān)注，在如何準確適用國際規(guī)則方面更是存在準備性不足問題[16]8。我國法院對涉外案件的處理非常謹慎，法院處理涉外案件適用的條約均為涉及私法層面的商事條約，很少觸及其他涉及公法層面的國際法規(guī)則[17]137。此種現(xiàn)象既有立法缺失問題，也有實踐中相關(guān)部門思維固化和協(xié)調(diào)機制運行效率不高等原因。

在立法層面存在兩方面突出問題。一方面，制度供給明顯不足和規(guī)范層級較低。例如，現(xiàn)行有效的《關(guān)于處理涉外案件若干問題的規(guī)定》是1995年外交部聯(lián)合最高人民法院等六部門出具的“司法解釋性文件”。從效力上看，該類文件僅具有事實性效力，并不會產(chǎn)生“規(guī)范意義上的法律效力”[18]221。另一方面，立法層面的不足還體現(xiàn)在涉外案件的民事實體法與程序法難以有機銜接。

在實踐層面，處理涉外案件時，我國法院需要與其他行政部門配合完成。此外，在處理“涉外案件”時，法院不能“擅自決定”，而需要基于同其他行政部門確立的“聯(lián)系機制”，在完成密切配合、征求意見、相互通報等必要的工作流程之后，方可作出處理。此外，若案件屬于“涉外重大案件”，在判決公布前，還需履行更加嚴格的內(nèi)容通報流程③參見《最高人民法院關(guān)于適用〈中華人民共和國民事訴訟法〉的解釋（2020修正）》第1條：“民事訴訟法第18條第1項規(guī)定的重大涉外案件，包括爭議標的額大的案件、案情復(fù)雜的案件，或者一方當事人人數(shù)眾多等具有重大影響的案件。”《關(guān)于處理涉外案件若干問題的規(guī)定》第1條第（4）款：“處理涉外案件，必須依照有關(guān)規(guī)定和分工，密切配合，互相協(xié)調(diào)，嚴格執(zhí)行請示報告，征求意見和通報情況等制度?！?。

綜上所述，在全球化與網(wǎng)絡(luò)技術(shù)飛速發(fā)展的背景下，我國個人信息域外保護在外部層面和內(nèi)部層面面臨嚴峻挑戰(zhàn)。這些問題實質(zhì)上是個人信息保護框架失衡的客觀反映，國內(nèi)信息保護制度供給的短板產(chǎn)生的傳導(dǎo)效應(yīng)不僅使我國公民信息權(quán)益在境外受損時投訴無門，執(zhí)法機關(guān)缺少跨境執(zhí)法的明確依據(jù)。個人信息保護的法規(guī)不完善是制約數(shù)據(jù)產(chǎn)業(yè)發(fā)展的重要障礙，更嚴重制約了國內(nèi)企業(yè)“走出去”的國際化發(fā)展前景。

五、個人信息域外保護的因應(yīng)

在個人信息保護方面擴展國內(nèi)法的域外效力，應(yīng)在立法、司法與執(zhí)法等方面統(tǒng)籌推進，以構(gòu)建具有域外效力的法治體系為理念與目標[14]188，從加大制度研究與供給、完善執(zhí)法和司法的必要配合，發(fā)揮跨國司法治理權(quán)等多個方面作出回應(yīng)。

（一）個人信息域外保護制度供給完善與配套措施落實

網(wǎng)絡(luò)空間司法管轄制度的及早確立，在當前全球各國關(guān)注“數(shù)據(jù)跨境流動”安全性的背景下具有重大戰(zhàn)略意義。其有助于網(wǎng)絡(luò)空間主權(quán)的主張在司法層面的落地，也有助于我國在數(shù)字經(jīng)濟全球治理方案占據(jù)先機[19]125。相比于傳統(tǒng)國內(nèi)法體系，目前我國法域外適用規(guī)則的實施效果尚缺乏配套制度的保障。與實體法域外效力條款相配套的程序法規(guī)則，應(yīng)當在將來《中華人民共和國民事訴訟法》和《中華人民共和國涉外民事法律關(guān)系適用法》條文修訂時充分考慮。司法機關(guān)可嘗試將實踐中處理較好的經(jīng)驗做法納入“指導(dǎo)性案例”，在將來時機成熟時納入立法流程。

此外，在立法層面可主張在特定條件下保護管轄原則“優(yōu)先”于屬地保護原則，基于國家安全與公共利益保護的前提下，對保護管轄原則的優(yōu)先適用對于我國關(guān)鍵利益的保護具有重要意義[15]128。加大對管轄權(quán)基礎(chǔ)理論研究，充分認識三方面問題：一是管轄權(quán)本身具有立法管轄、司法管轄和執(zhí)法管轄三個層次的屬性；二是執(zhí)法管轄權(quán)同時包含行政機關(guān)對數(shù)據(jù)主體的直接執(zhí)法，也包含司法機關(guān)基于“調(diào)查利益”而對域外數(shù)據(jù)控制主體的調(diào)查行為；三是執(zhí)法管轄權(quán)的合法性源于國家對國內(nèi)事項進行管理，具有當然合法性[15]123。

（二）加強行政責任在域外適用法律責任體系的研究

域外適用法律責任體系除了民事責任和刑事責任以外，還應(yīng)當包含行政責任。對于域外網(wǎng)絡(luò)空間違法行為施加必要的行政管制措施已經(jīng)得到世界各國的廣泛共識。例如，在歐盟GDPR條例下，相關(guān)監(jiān)督機構(gòu)在特定情況被賦予具有鮮明行政執(zhí)法色彩的調(diào)查權(quán)和糾正權(quán)，在巴西和印度等國家的數(shù)據(jù)保護立法中，也含有賦予執(zhí)法機關(guān)在特定情況下作出高額行政處罰的明確規(guī)定[20]79。對于我國而言，可以考慮對行政強制措施中“行為發(fā)生地”作出擴大解釋，或者靈活解釋屬人管轄連接點[3]35。例如，在個人信息域外保護方面適當突破傳統(tǒng)屬地管轄原則的桎梏，參考國際常設(shè)法院觀點，將信息接收點、信息發(fā)出點、信息在我國領(lǐng)土內(nèi)的傳播均納入屬地管轄范圍[21]1571，與之對應(yīng)的執(zhí)法管轄權(quán)直接視為域內(nèi)管轄。概言之，我國一方面應(yīng)當適當使用規(guī)制工具箱，綜合運用包括行政和解、行政調(diào)查、通報批評等軟措施和凍結(jié)財產(chǎn)、罰款、沒收違法所得等硬措施，構(gòu)建多元化的域外行政執(zhí)法體系；另一方面，尊重他國主權(quán)，避免與他國管轄措施構(gòu)成直接沖突，積極參與國際網(wǎng)絡(luò)空間治理多邊機制，努力推動國際社會早日達成在網(wǎng)絡(luò)空間治理方面實現(xiàn)“全球協(xié)商共管”的解決方案。

（三）強化國內(nèi)法院在國內(nèi)法域外適用中的角色

司法功能具有被動性的特點，但法院可以結(jié)合對國內(nèi)法律的適當闡釋，為國內(nèi)法律域外適用提供必要支持[3]28。隨著我國“一帶一路”建設(shè)有序推進，涉外案件的執(zhí)法司法不僅局限于國際刑事案司法合作，還涉及經(jīng)貿(mào)磋商、知識產(chǎn)權(quán)糾紛、商事爭議解決等多個方面。司法機關(guān)在許多方面為維護國家利益保駕護航，例如，依法運用我國域外適用條款，重視有國際影響力案件的處理，為執(zhí)法機關(guān)對法域外措施提供支撐，對他國無理的法律擴張進行有效應(yīng)對和反擊等[19]115。

在個人信息域外保護方面，最高法院應(yīng)當開拓思路，積極與外交部、商務(wù)部、網(wǎng)信辦、市場監(jiān)管總局等部委進行信息共享與機制聯(lián)動，提升工作效率。在涉外司法執(zhí)法方面，司法機關(guān)在“維護國家主權(quán)和安全、服務(wù)保障高水平對外開放、營造法制化營商環(huán)境、積極參與國際規(guī)則制定、完善涉外審判機制”等多方面發(fā)揮了重要作用。在后續(xù)工作中，還應(yīng)從推進“一站式”國際商事糾紛解決機制、加強涉外司法與行政銜接與聯(lián)動、擴大國際司法交流合作等方面著手，進一步保護國家數(shù)字主權(quán)，并真正提升我國個人信息域外保護方面司法執(zhí)法效能[22]。

此外，可考慮通過適當拓展“私法路徑”，強化國內(nèi)法域外適用中的作用，即法院在處理私人法律關(guān)系案件的過程中，通過適用公法性質(zhì)的規(guī)則，達到國內(nèi)法域外適用的目的，如各級人民法院以《中華人民共和國反壟斷法》第2條為依據(jù)審理的案件即是如此[3]36。為了使《個人信息保護法》域外效力得到更好發(fā)揮，可以考慮將“效果原則”引入《中華人民共和國涉外民事關(guān)系法律適用法》。借鑒歐盟《羅馬第二條例》的經(jīng)驗，規(guī)定“涉外反壟斷行為的民事責任，適用受到影響的市場所在地國法律”[23]83。這種雙邊化沖突規(guī)范有兩方面好處:一方面，它賦予我國《個人信息保護法》域外效力，有利于保護我國公民和企業(yè)的信息權(quán)益；另一方面，它有助于我國法院通過適用外國個人信息保護法，使違規(guī)行為主體承擔民事責任。

我國應(yīng)破解“司法消極論”的誤區(qū)，在不違反國際法的前提下，充分利用國內(nèi)司法資源維護我國海外利益。在未來立法過程中，注重研究涉外民事管轄理論，探索“積極管轄理念”[19]122。此外，應(yīng)支持法院綜合個案事實對中國數(shù)據(jù)保護立法的效力范圍進行解釋，與立法、行政機關(guān)之間形成良性互動，推動中國數(shù)據(jù)治理體系的構(gòu)建[24]167。